Rancangan Undang-Undang Keamanan dan Ketahanan Siber atau RUU KKS memunculkan dua hal sekaligus: harapan akan penguatan pertahanan digital nasional dan kekhawatiran soal kewenangan yang terlalu terkonsentrasi. Catalyst Policy Works menilai arah regulasinya sudah tepat, tetapi desain kelembagaan dan rumusan sanksinya masih menyisakan lubang serius.
Yang paling disorot adalah potensi lahirnya otoritas siber yang terlalu luas tanpa batas mandat yang tegas. Dalam draf yang dibahas, lembaga siber disebut akan memegang peran dari standardisasi, audit, sertifikasi, hingga koordinasi krisis, sehingga berisiko menumpuk fungsi regulator, operator, auditor, dan koordinator dalam satu tangan.
Mandat lembaga masih kabur
Direktur Eksekutif Catalyst Policy Works, Wahyudi Djafar, menilai keamanan siber nasional memang membutuhkan lembaga yang kuat. Namun, kekuatan itu menurut dia harus disertai mandat yang jelas, akuntabilitas terukur, dan pengawasan yang transparan.
Wahyudi juga menyoroti ketidakpastian hukum bagi industri digital karena naskah kiriman Presiden belum menjelaskan status, struktur, independensi, hubungan dengan regulator sektor, dan mekanisme pertanggungjawaban lembaga siber secara eksplisit. Ia menilai isu kelembagaan pada undang-undang payung tidak semestinya diserahkan sepenuhnya pada peraturan pemerintah.
Menurut dia, bentuk lembaga, tugas, fungsi, dan kewenangannya perlu ditulis langsung di dalam undang-undang agar tidak menimbulkan tafsir berlapis di kemudian hari. Tanpa rumusan yang tegas, pelaku industri bisa menghadapi kepastian hukum yang rapuh saat harus menyesuaikan diri dengan aturan baru.
Risiko benturan fungsi di satu instansi
Catalyst juga menilai penggabungan terlalu banyak fungsi di satu instansi bisa memicu konflik kepentingan. Jika regulator, operator, auditor, sertifikasi, dan koordinator berada dalam satu payung tanpa sekat pengawasan eksternal, ruang tumpang tindih kewenangan menjadi sangat besar.
Bagi industri, kondisi seperti itu tidak hanya membingungkan dalam urusan kepatuhan. Situasi tersebut juga bisa mengganggu iklim investasi teknologi karena pelaku usaha sulit membaca batas tanggung jawab masing-masing institusi.
Meski begitu, Catalyst tetap mengapresiasi dimulainya pembahasan RUU KKS. Wahyudi menyebut pendekatan yang memuat siklus manajemen keamanan siber dari hulu ke hilir sebagai langkah yang penting untuk membangun pertahanan digital yang lebih modern.
| Usulan Catalyst | Arah Perubahan | Tujuan |
|---|---|---|
| Otoritas Keamanan dan Ketahanan Siber Nasional sebagai badan non-kementerian | Bertanggung jawab kepada Presiden, berperan sebagai regulator dan pengawas kepatuhan | Menghindari fungsi intelijen atau penyidik yang melebar |
| Model central coordinator with sectoral regulators | Otoritas nasional menetapkan standar lintas sektor, regulator teknis tetap mengawasi sektor masing-masing | Menjaga pembagian peran agar tidak saling tumpang tindih |
| Pemisahan fungsi | Regulasi, operasi, audit, sertifikasi, dan penindakan tidak digabung | Memperkuat akuntabilitas lewat laporan tahunan ke DPR dan audit independen |
Perlindungan pelapor dan privasi publik
Selain soal desain lembaga, Catalyst menilai RUU KKS perlu memberi safe harbour bagi pelapor insiden siber. Skema itu dianggap penting agar pelaku industri tidak memilih menutup-nutupi serangan digital hanya karena takut terkena sanksi administratif.
Di sisi lain, pemantauan anomali trafik juga harus dibatasi oleh pagar konstitusional yang kuat. Tanpa batas yang tegas, pengawasan bisa meluas menjadi akses massal terhadap isi komunikasi privat warga negara.
Karena itu, efektivitas pengawasan siber tidak cukup diukur dari seberapa besar kewenangan teknis yang diberikan. Regulasi juga harus menjaga keseimbangan antara keamanan nasional, perlindungan hak privasi, dan kepastian hukum bagi pelaku usaha digital.
Sanksi harus bertingkat dan proporsional
Catalyst mendorong agar penegakan hukum dalam RUU KKS dibuat bertingkat. Sanksi administratif sebaiknya dimulai dari teguran hingga denda administratif, sedangkan pidana tidak boleh langsung diarahkan ke pelanggaran administratif yang tidak disengaja.
Wahyudi menegaskan bahwa ancaman pidana berat hanya layak dipakai untuk tindakan dengan akibat serius, unsur kesengajaan yang jelas, hubungan sebab-akibat yang terbukti, dan dampak signifikan. Ia juga menilai batasan hukum pidana harus dirumuskan ketat agar tidak berubah menjadi pasal karet.
“Menjadikan sanksi pidana sebagai ultimum remedium untuk serangan berat terhadap IIK, ransomware, sabotase, dan tindakan yang menimbulkan akibat serius, bukan ditegakkan terhadap kegagalan kepatuhan administratif,” ujar Wahyudi.
Catatan dari Catalyst menempatkan RUU KKS pada titik krusial antara kebutuhan memperkuat pertahanan siber dan keharusan menjaga desain kelembagaan yang seimbang. Bagi industri digital, kejelasan mandat, pemisahan fungsi, serta perlindungan terhadap pelapor dan privasi publik menjadi syarat penting agar regulasi tidak berubah menjadi instrumen kewenangan yang terlalu tersentralisasi.
